功能安全评估的全流程介绍

随着我国化工装置、危险化学品储存设施规模大型化、生产过程自动化水平逐步提高，同步加强和规范安全仪表系统管理，十分紧迫和必要。为加强化工安全仪表系统管理，防止和减少危险化学品事故发生，国家出台《安全监管总局关于加强化工过程安全管理的指导意见》（原安监总管三〔2013〕88号）、《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（原安监总管三〔2014〕116号）等指导意见。后续各省也相继发布相关指导意见的通知，如云南省应急管理局发布《云南省危险化学品生产储存企业化工安全仪表系统管理指导意见》、北京市应急管理局印发《化工安全仪表系统专项整治工作方案》、山西省应急管理厅发布《关于进一步做好化工安全仪表系统管理》的通知等。

根据《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（原安监总管三〔2014〕116号）（十三）从2018年1月1日起，所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统，从2020年1月1日起，应执行功能安全相关标准要求，设计符合要求的安全仪表系统。（十五）2019年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施，要参照本意见要求实施。

《安全监管总局关于加强化工过程安全管理的指导意见》（原安监总管三〔2013〕88号）（十七）设备安全运行管理。开展安全仪表系统安全完整性等级评估。企业要在风险分析的基础上，确定安全仪表功能（SIF）及其相应的功能安全要求或安全完整性等级（SIL）。企业要按照《过程工业领域安全仪表系统的功能安全》（GB/T-21109）和《石油化工安全仪表系统设计规范》（GB/T-50770）的要求，设计、安装、管理和维护安全仪表系统。

根据IEC-61511的定义，功能安全作为“涉及工艺过程和BPCS（基本过程控制系统）整体安全的一部分，依赖于SIS和其他保护层正确的实施其功能。功能安全是整体过程安全的一部分，并且采用安全仪表系统（SIS）。SIS是由一个或多个SIF（安全仪表功能）组成的安全系统。

功能安全评估首先要回答的是是否需要SIS。在过程工业领域，根据过程安全的整体要求，通过危险和风险分析（常用的分析方法如HAZOP分析），辨识危险场景的工艺过程风险，对比企业的可接受风险，若可接受，则分析结束。若不可接受，则继续分析目前配置的保护措施（非安全仪表功能）配置情况是否能满足企业的可接受风险。若可接受，则分析结束。若不可接受，则需要增加安全仪表功能（SIF）来满足风险降低要求。

进一步，功能安全评估需要回答如果需要SIF，它的SIL等级是多少，需要进行SIL定级分析。为确定SIF回路是否能达到所要求的SIL等级，需要进行SIL验证分析。下面就SIL定级与SIL验证进行介绍。

（1）SIL 定级分析方法及流程

在过程风险分析（如 HAZOP 或其它 PHA 分析）的基础上，通过风险分析确定安全仪表功能（SIF），结合企业的风险可接受标准，确定 SIF 回路的风险降低要求，即 SIL 等级。一般根据IEC61511 中推荐的保护层分析方法（LOPA）进行 SIL 定级。在评估初始事件导致的初始风险的基础上，通过判断现有安全措施对于风险削减的有效性，最终评估出安全仪表功能可靠性等级要求，即安全完整性等级（SIL）。

定级工作前企业的风险可接受标准的选择尤为重要，采用过低的风险可接受标准可能导致评估结果不满足国家要求，采用过高的风险可接受标准评估结果虽然满足国家要求，但是过高的评估结果对于SIF回路的相关配置要求更为严格，又增加了企业负担。因此合理的采用风险可接受标准是做功能安全评估的重要一步。

一般SIL定级的输入资料如下：

◆ 装置危害与可操作性（HAZOP）分析报告；

◆ 装置基础设计工艺说明书；

◆  装置管道及仪表流程图（PID）；

◆ 装置安全仪表联锁因果图（Cause & Effect Chart）；

◆ 装置安全仪表联锁逻辑图；

◆ 装置联锁一览表；

◆ 装置基础设计工艺设备表；

定级分析人员组成：

LOPA小组成员可包括但不限于以下人员：

a）组长；

b）记录员；

c）设计人员；

d）操作人员；

e）工艺人员；

f）设备工程师

g）仪表工程师；

h）安全工程师。

根据需要，可要求以下人员参加LOPA：

a）工艺包供应商；

b）成套工艺设备供应商；

c）公用工程工程师；

d）电气工程师；

e）其他专业工程师。

SIL 定级分析的执行步骤如下：

a) 确定工作范围及目标；

b) 确定项目或企业可接受的风险标准（合理可接受的风险）；

c) 根据风险辨识（HAZOP 或其它 PHA 方法）结果，筛选待评估场景及后果；

d）识别初始事件（IE）和使能事件，确定发生频率；

e）识别独立保护层（IPL），评估平均失效概率（PFD）；

f）计算场景频率，确定风险降低因子；

g）确定目标SIL等级要求并提出建议措施。

SIL定级流程图如下：

SIL定级流程图

在定级过程中，需要重点注意的是，初始事件（IE）、使能事件、独立保护层（IPL）频率的确定，因为都会影响定级结果。一般初始事件频率来源主要有三个来源，行业数据库、公司经验和供应商数据。目前常见做法是参考行业数据库，如：《化工过程定量风险分析指南》（CCPS）、《工艺设备可靠性数据指南》（CCPS）、《保护层分析（LOPA）方法应用导则》AQT 3054-2015和其他公开数据等来确定事件发生频率，公司经验数据其实能更好的反应企业实际，但其要求公司具有充足的历史数据来进行有意义的统计分析，因为目前很少企业能做到这种统计性分析，导致目前这部分数据还不能应用到实际的定级过程中。但分析会议时需要现场工艺、仪表或设备人员等与会人员对相关数据进行确认或修正，以便评估结果更能反映企业实际情况。还有一部分供应商数据，一般供应商数据比较乐观，因此定级过程中仅供参考。

（2）SIL验证方法及流程

根据选择的安全仪表功能（SIF）回路的组成和仪表选型等信息，应用相关验证模型，对其进行安全完整性等级（SIL）验证。搜集各 SIF 回路的结构配置、操作模式、检验测试间隔等信息，根据企业提供的设备失效数据同时参照国际上的失效数据库和国内同类工厂调研情况分析确定出各设备失效率数据，分析算出 PFD 值、硬件故障裕度，最终确定该安全功能目前达到的实际水平。

一般验证输入材料：

◆ 装置SIS系统所涉及的仪表设备台账：台账内容包括一次仪表、（输入输出）安全栅、电磁阀、继电器、执行机构（阀）的规格型号、厂家、类型（阀门是球阀、闸阀、针阀….温度变送器是热电偶式、热电阻式…..）；

◆ 装置SIS系统逻辑控制器的厂家、产品规格型号、冗余结构、TUV认证的SIL等级证书；

◆ 联锁回路各子单元检验测试周期。

SIL 验证典型流程如下：

a) 选择 SIF 回路，并识别组件、冗余结构；

b) 收集硬件故障数据（危险检测到的危险失效率（DD）、未检测到的危险失效率（DU）、检测到的安全失效率（SD）以及未检测到的安全失效率（SU）），主要来自以下几个来源：企业设备失效数据统计、供应商SIL等级证书、行业通用数据等；

c) 确定检验测试周期、检验测试覆盖率、平均修复时间等信息；

d) 借助SIL评估专业软件绘制各安全功能回路对应的可靠性框图，根据模型计算PFD值，以确定这个SIF回路的SIL等级；

e）分析回路的硬件故障裕度（HFT），以确定SIF回路的结构约束能达到的SIL等级；

f）比对两个SIL等级结果，确定SIF实际能达到的SIL等级，与SIF定级的目标SIL等级相比较，可以确认该SIF回路是否合适，还是属于过度配置或配置不足；

g）如果验证的 SIL不满足SIL目标等级，分析其结构及 PFD 分布，进一步提出技术建议，并计算符合目标SIL要求的检验测试周期，以达到帮助企业科学制定维护策略的目的；

h）根据可靠性模型，计算装置误停车率STR，确认其是否符合设计原则。考核期可用性的重要指标为MTTFs（平均误停车时间间隔）；

i）综合考虑装置对SIS系统SIF回路与其SIL等级的实际需求、所配置的SIF回路实际达到的SIL等级和误停车率STR三个方面的因素，提出合理化建议；

针对验证后不满足要求回路，建议措施一般从三个方向来考虑：

（1） 通过更换可靠性参数更高的仪表来提高SIF回路的PFDavg；（例如变送器的可靠性参数普遍比开关的可靠性参数高）；

（2） 通过增加子单元的冗余结构来提高SIF回路的PFDavg；（例如1oo2结构的可靠性比1oo1结构的可靠性参数高）；

（3） 通过缩短子单元的检验测试周期（TI）来提高SIF回路的PFDavg；（例如把仪表的检验测试周期从24个月缩短至12个月，可靠性参数变高）。

以上三种建议措施可以单一实施或是组合实施，具体的实施形式还要充分考虑现场情况和工艺情况，最终选择一种合理的、可实施的方案。

SIL验证流程图如下：

SIL验证流程图

在实施功能安全评估过程中，对文件和记录满足一下要求，并作为分析报告的附件；

① 每个装置均应建立独立的功能安全评估文档，记录采用完整记录法；

② 在功能安全评估过程中涉及的或产生的所有的图纸、相关资料、计算书、记录单、活动登记表等，由秘书归档保存，以备将来进行追踪管理；

③SIL定级及验证记录表作为分析报告的附件；

④分析会议结束后， SIL主席应检查记录表，确保会议讨论内容都被正确记录下来；

⑤SIL评估记录表分发给所有的分析小组成员。